Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf Gruppenrichtlinie unter Windows 7 nicht möglich

Frage Microsoft Windows Server

Mitglied: milhouse

milhouse (Level 1) - Jetzt verbinden

14.09.2010, aktualisiert 18.10.2012, 10366 Aufrufe, 9 Kommentare

Hallo zusammen,

ich habe eine Gruppenrichtlinie mit Sicherheitsfilterung angelegt (Infos hier). Eigentlich funktioniert soweit alles – die Richtlinie wird an die entsprechenden PCs verteilt und nur bei den Nutzern ausgeführt, die in der Gruppe der Sicherheitsfilterung Mitglied sind.

Jetzt kam ein neuer Client mit Windows 7 hinzu. Dieser holt sich, bis auf diese eine, alle für ihn vorgesehenen Richtlinien. Zur Prüfung des Problems habe ich folgendes probiert:
(1) Ich habe als erstes im Ereignisprotokoll nachgeschaut – aber keinen Fehler gefunden.
(2) Mit rsop.msc den Richtlinienergebnissatz angeschaut. Ergebnis: Das Skript, welches die Richtlinie aufruft, wird nicht am Client ausgeführt.
(3) Danach habe ich mit der Management Console ein Gruppenrichtlinienergebnis für den Win7-Client und den Nutzer erstellt. Dort taucht die Richtlinie unter "Abgelehnte Gruppenrichtlinienobjekte" auf. Anstelle der Bezeichnung steht die Kennung "{c4xxxx-xxxx-xxxx-xxxxxx}" und als Grund ist "Zugriff nicht möglich" aufgelistet.
(4) Ich habe den Benutzer, um den es geht, testweise in die Sicherheitsfilterung aufgenommen. Keine Besserung.
(5) Unter dem Benutzernamen an einem XP-Client angemeldet. Keinerlei Probleme – ausnahmslos alle vorgesehenen Richtlinien werden angewendet.
(6) Am Win7-Client mit anderem User angemeldet, der die gleiche Richtlinie ausführen soll. Auch mit diesem User wird die eine Richtlinie nicht angewendet ("Zugriff nicht möglich").

Kennt jemand das Problem und eine Lösung? Warum verweigert ein Win7-Client den Zugriff auf eine Richtlinie die der gleiche Benutzer an einem XP-Client zugewiesen bekommt.

Ich hoffe, ich habe alles einigermaßen verständlich erklärt und freue mich auf Eure Antworten.
Mitglied: creyzee
14.09.2010 um 19:46 Uhr
Hallo,

Startscripts werden auch von Windows 7 Clients ausgeführt. Es kann also nur an dem Inhalt des Scriptes liegen. Was soll das denn machen?

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: milhouse
15.09.2010 um 07:52 Uhr
Zitat von creyzee:

Startscripts werden auch von Windows 7 Clients ausgeführt.

Ja, alle andere GPOs werden auch angewendet und einige davon rufen ebenfalls Skripte auf. Wie oben unter 3 beschrieben zeigt das Gruppenrichtlinienergebnis bei dieser (und nur dieser) GPO "Zugriff nicht möglich".

Zitat von creyzee:

Es kann also nur an dem Inhalt des Scriptes liegen.

Eher nein. Wenn ich das Skript manuell ausführe funktioniert es einwandfrei. Zudem wird es ja laut rsop.msc nicht aufgerufen.

Zitat von creyzee:

Was soll das denn machen?

Zwei Einträge in die Registry schrieben. Eine andere GPO ruft ein Skript auf, das fast identische Einträge an anderer Stelle in die Registry schreibt.
Bitte warten ..
Mitglied: creyzee
16.09.2010 um 07:29 Uhr
Hallo,

sorry, ich hatte gestern noch Urlaub und da habe ich am Haus gearbeitet.

Wenn das Script nach der Anmeldung bei manueller Ausführung funktioniert, dann könnte es an den ACL der Registry-Zweige liegen. Vergleiche mal die ACL mit den Registry-Zweigen, welche von der anderen GPO geändert werden.

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: milhouse
16.09.2010 um 08:53 Uhr
Die Berechtigungen der Zweige sind absolut identisch.

Wir reden gerade etwas aneinander vorbei. Das Skript wird nicht ausgeführt, da der User an einem Windows 7 Client keinen Zugriff auf die GPO hat. An einem XP-Client kommt der gleiche Benutzer abr an die GPO.
Bitte warten ..
Mitglied: creyzee
16.09.2010 um 18:02 Uhr
Hallo,

Ich hatte mal nen ähnlichen Fall. Da versuchte eine GPO ein Script aufzurufen, das Änderungen vornehmen wollte, die durch die Benutzerkontensteuerung blockiert wurden. Dadurch wurde das Script nicht ausgeführt und die GPO wurde abgelehnt...

Hast du vielleicht ein Problem mit der Sicherheitsfilterung der GPO? Wer darf denn die GPO "lesen"? Wenn du das Script unter Computer\...\Starten&Herunterfahren stehen hast, dann muss dem Computerkonto Leserecht gewährt werden. Um das auszuschließen gibt mal der Gruppe "authentifizierte Benutzer" (das sind auch Compuerkonten) Leserechte.

Wobei das schon merkwürdig ist, weil ja die XP-Clients die GPO verarbeiten...aber ich kenne ja nicht deine Gruppen- und OU-Strukturen.

Viele Grüße vom creyzee
Bitte warten ..
Mitglied: creyzee
16.09.2010, aktualisiert 18.10.2012
Hallo,

ich habe mal weiter nach ner Lösung gesucht. Vielleicht findest du ja was in dieser Frage: http://www.administrator.de/forum/windows-7-rc-f%c3%bchrt-startskript-a ...

Da geht es um ein ähnliches Szenario. Folgende Ansätze klingen interessant:
a) Schalte mal die UAC ab.
b) leg auf das Script eine Überwachung an und schau mal, ob es überhaupt angefasst wird
c) baue in das Script eine Pause ein und konfiguriere sichtbare StartScripte
d) konfiguriere in der GPO "beim Neustart des Computers und bei der Anmeldung immer auf das Netzwerk warten"

Viele Grüße, creyzee
Bitte warten ..
Mitglied: milhouse
20.09.2010 um 08:23 Uhr
Zur ersten Antwort:
Wenn ich "authentifizierte Benutzer" eintrage, funktioniert es.
Der Benutzer ist aber auch in der Sicherheitsgruppe die normalerweise in der Sicherheitsfilterung eingestellt ist.
Dann habe ich die "authentifizierten Benutzer" wieder entfernt und nochmals das Win7-Notebook in die Sicherheitsfilterung eingetragen. Bringt aber auch keine Besserung, da es ja eine Benutzerrichtlinie ist die per LBVM für eine bestimmte OU verteilt wird.

Zur zweiten Antwort:
UAC ist bereits abgeschaltet. Das Skript wird aber nicht angefasst.
Bitte warten ..
Mitglied: milhouse
20.09.2010 um 10:03 Uhr
Ich habe nochmals mit etwas Wartezeit einen Versuch gestartet. Wenn ich den Win7-Client in die Sicherheitsfilterung reinnehme, geht es scheinbar (Beim ersten Versuch war ich wohl zu schnell. Die Gegenprobe brachte auch das entsprechende Ergebnis).

Aber richtig erklären kann ich es mir nicht. Die Richtlinie macht ja nur Benutzereinstellungen. Und warum geht es an XP-Clients auch ohne den Eintrag in der Sicherheitsfilterung.

Da die Richtlinie ja nicht für alle gültig ist, müsste ich dann wohl eine Gruppe mit allen Computern anlegen, die ich in die Sicherheitfilterung eintrage, richtig?
Bitte warten ..
Mitglied: creyzee
21.09.2010 um 20:15 Uhr
Hallo,

sorry, habe momentan viel um die Ohren...

Die Wartezeiten lassen mich auch immer wieder verzweifeln.

Der Benutzer ist in der Sicherheitsgruppe, welche für die Filterung verwendet wird. Aber ist auch den Win7-Client in dieser Gruppe? Wenn nein, dann erklärt das, warum es für die Clients nicht funktioniert: du verwendest LBVM! In der Gruppe "authentifizierte Benutzer" sind nicht nur Benutzer, sondern auch Computerkonten drin!

Daher wird deine Vermutung richtig sein: du brauchst eine Gruppe mit den erforderlichen Computerkonten, die du dann auch für die Sicherheitsfilterung verwendest.

Schreibe mal, was da raus kommt. Viele Grüße vom creyzee
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Keine RDP-Sitzung über VPN mit Windows 10 möglich (4)

Frage von Wonderland zum Thema LAN, WAN, Wireless ...

Windows 10
Windows Problem: Kein Zugriff auf das LAN via Ethernet möglich (4)

Frage von ReinerWahnsinn zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...